导语:据安全事件频发,数据泄露规模、危害愈发严重
一、安全背景
(1)数据安全事件频发
数据安全事件频发,数据泄露规模、危害愈发严重,如T-Mobile 2013年两次数据泄露,国内42亿快递信息泄露,科技公司宏基160G内部机密数据泄露等;内部人员有意无意数据泄露也会对我国国家安全造成严重危害。
(2)数据安全体系日益成熟,监管趋严
我国数据安全法律体系日益成熟,在网络安全法、数据安全法、个人信息保护法三部数据安全基础法规下,各行业领域逐步出台行业数据安全相关法律法规和监管要求,加强了数据安全执法监督检查,各地方依据上位法逐步完善属地数据安全法律法规。
(3)数据流转路径复杂
数据流转路径非常复杂,不同用户可通过不同的途径访问到相同的数据。
(4)数据流转面临诸多挑战
数据流转各环节面临诸多安全挑战,如:在采集用户数据时,可能面临超范围采集、采集设备风险、未取得个人同意等安全风险;在数据通过API传输数据中,面临敏感数据明文传输、参数篡改、超范围传输、认证机制不完善等安全风险;等等。
二、动态数据流转安全治理
动态数据流转安全治理是基于业务流程,梳理数据全链路数据关键风险指标,形成关键风险指标库,并将安全风险评估贯穿数据安全流转全过程,融入各流程;围绕数据流转,加强数据全链路安全风险监测,结合内外部数据持续优化数据安全治理策略,从而实现动态数据流转安全治理。
(1)关键路径(一):数据流转途径和安全环境识别
通过内部数据流转环境及数据流转各环节数据安全风险识别,结合外部数据安全风险识别,全面对数据流转途径、安全环境、安全风险进行识别梳理,为后续关键数据流转安全风险指标提供依据。
内部数据流转及安全风险识别包括:数据源识别、数据资产识别API识别、数据应用场景识别、数据流转识别及安全管控措施识别。结合数据安全风险评估、个人信息保护影响评估等安全评估,理清内部数据流转环境及安全风险情况。
外部数据安全风险识别包括:互联网暴露面识别、互联网数据泄露风险识别及威胁情报。识别外部数据安全风险,为动态数据安全治理提供依据。
(2)关键路径(二):明确关键数据流转安全风险指标
全面了解数据流转流程和安全防护环境,深入业务流程进行分析,基于Gartner CARE指标框架,围绕数据分类分级结果,从数据安全防护的一致性、充分性、合理性和有效性四个方面,全面梳理关键数据流转安全风险指标,形成数据流转安全风险关键指标库。建立安全指标动态更新模型,基于常态化数据流转安全监管结果,持续更新安全指标。
实施精准的关键数据流转风险指标是基于组织内部现有流程进行改进。有以下八个关键步骤:1、定义安全指标的目标和目的;2、确定安全指标类型;3、选取或开发合适的安全风险指标方法;4、建立数据流转安全基线;5、明确告警和报告机制;6、制定安全指标计划,并在组织中应用;7、建立安全指标审查和更新机制,明确时间周期;8、建立安全指标动态更新机制。
(3)关键途径(三):常态化开展数据流转安全监管运营
健全平台化监管能力建设,对关键数据流转安全风险指标进行常态化安全监测预警和安全运营,及时发现关键风险,通过平台统计调度或安全联动数据安全防护能力进行风险处置;
同时将数据安全评估嵌入数据全链各环节流程,定期对存量数据处理活动进行安全评估,对新增数据处理活动或数据内容变更场景进行动态安全评估,及时发现安全风险,增强组织数据安全抗风险能力;
引入分类分级清单、监测结果、评估结果等内部数据和威胁情报、安全事件信息等外部数据,进行关联分析,强化数据流转全链路溯源分析能力,动态优化调整关键数据流转安全风险指标、RACI、安全防护措施等,实现数据流转安全风险动态治理。
(4)关键途径(四):数据流转安全风险数字化
风险管理数字化是动态数据流转安全风险治理的基础,有利于组织各层级及时了解组织在数据流转各环节面临的数据安全风险挑战决策层及时调整安全战略,并给予支持。风险管理数字化可支撑数据安全战略调整和落地执行,实现上通下达,高效落实各项安全策略和要求。支撑组织及时优化数据安全管理、技术、运营体系,确保数据安全体系属于行业最佳,提升数据安全防护能力;
基于数据安全监管平台或数据安全运营平台,实现数据流转安全风险数字化,包括数据分布视图、数据流转视图、安全风险视图、安全管控视图、泄漏途径视图、关键风险(KPIs)趋势等,实现数据流转安全风险可感、可知、可控、可管。
三、数据流转安全风险治理实施建议
(1)企业侧
Ø 通过内部数据源识别、暴露面识别、数据流转识别和安全评估等内部数据和威胁情报、安全事件、互联网泄露监测等外部数据,基于数据业务流程,制定企业关键数据流转安全风险指标;
Ø 将关键数据流转安全风险指标纳入常态化安全监测和运营,发现安全风险后,安全联动数据安全防护措施进行处置,同时对数据流转全链路情况进行溯源分析,结合RACI(责任矩阵)进行追责;
Ø 基于数据流转安全监管运营和外部数据,持续优化KPIs;
Ø 基于数据安全监管或运营平台实现数据流转安全风险数字化,包括数据分布视图、数据流转视图、安全风险视图等,支撑组织决策层进行决策分析,支撑安全合规部门进行安全风险闭环管理,支撑业务部门进行风险跟踪和处置;
Ø 通过数据流转安全风险数字化展现,实现全员安全意识培训和安全能力培训,支撑完善数据安全体系。
(2)监管侧
根据行业特点,基于行业数据分类分级规范,针对重点行业重点业务系统、业务场景、互联网出口及互联网泄露风险进行识别,同时记录开源情报、安全事件等外部威胁情报和备案信息、投诉信息、公司信息、风险线索信息等内部基础信息,定义和制定行业关键数据流转安全风险指标,形成行业安全风险指标库,通过监管平台持续对安全风险指标进行监测预警,及时发现安全风险,督促和指导行业企业进行整改,提升行业数据安全整体防护能力。
通过监测发现问题、威胁情报信息、基础资源信息,持续对数据资产识别策略、关键数据流转安全风险指标进行优化,实现行业数据安全风险的动态治理,提升监管水平和效率。
如若转载,请注明原文地址